在本集中,我们将讨论快速发展的网络安全环境以及如何保护当今的系统,以及远程工作和远程系统访问对网络安全的影响。
Eric Cole 是 Secure Anchor Consulting 的首席执行官兼创始人。 Secure Anchor Consulting 提供高度接触的网络安全服务,帮助组织防止安全漏洞、检测网络入侵和应对高级威胁。
ecole@secure-anchor.com
音频文字.
Erik:欢迎来到工业 IoT Spotlight,这是您从工业 IoT 思想领袖那里获得洞察力的第一站,他们正在与您的主持人 Erik Walenza 一起改变当今的业务。
欢迎回到工业物联网聚焦播客。我是您的主持人,IoT ONE 的首席执行官 Erik Walenza。我们今天的嘉宾是 Secure Anchor Consulting 的创始人兼首席执行官 Eric Cole。 Secure Anchor Consulting 提供高度接触的网络安全服务,帮助组织防止安全漏洞、检测网络入侵和应对高级威胁。在本次演讲中,我们讨论了快速发展的网络安全环境以及如何保护当今的系统。我们还探讨了 COVID-19 导致的远程工作和远程系统访问对网络安全威胁向量的影响。
如果您发现这些对话很有价值,请给我们留下评论和五星级评价。如果您想分享您公司的故事或推荐一位演讲者,请发送电子邮件至 team@IoTone.com。谢谢你。埃里克,非常感谢你今天加入我们。
埃里克:很高兴来到这里。谢谢你有我。
Erik:这是一个在工业物联网领域越来越重要的话题。埃里克,在我们进入这个话题之前,你的背景非常有趣,所以我很想听听你带领我们了解一些主要的里程碑。您曾在 SciTech 集团 Lockheed Martin FA 工作,然后您现在是 Secure Anchor Consulting 的创始人兼首席执行官。我们可以从几十年前您对这个网络安全主题的第一次兴趣开始。然后听听您如何从为企业 C 套件职位工作过渡到现在建立自己的咨询公司会很有趣? '
埃里克:当然。如果可以的话,在我为你提到的所有公司工作之前,我会带你回到更远的地方。因为这一切都始于 1991 年,当时我在中央情报局工作,中央情报局,我正在实习,我正在寻找可以工作的部门。当然,那是 1991 年,所以我接受了网络运营中心、编程组和操作系统组的面试。
然后有一个叫做网络安全的小团体让我很感兴趣。因为当我与我的顾问交谈时,我与其他人交谈时说,我应该为哪个团队工作?每个人都匿名说,你需要去为网络工作,一切都将成为网络,一切都将被互连。那就是未来。我说,但我真的很喜欢这个叫做网络安全的领域。他们就像,网络安全是一种时尚。没有人会关心它。你要安装一些软件。它会得到解决。这不会像著名的遗言那样在 20 或 30 年内成为大问题。
所以我不听别人的,我接受建议,但我最终还是听从了我的直觉。我的直觉告诉我要选择网络安全。所以我加入了网络安全小组,这让我成为了一名职业黑客,在这七年里我真正建立了我的进攻心态。这对我很有帮助,因为自从我离开中央情报局后,我厌倦了黑客攻击,厌倦了闯入。原因很简单。这很简单。你总是可以闯入任何系统,因为任何系统、任何业务,无论是物联网,还是大型、商业或航空航天,如果你有功能,你就有漏洞。因此,攻击者总是有办法进入的。所以进攻很容易。防御要困难得多。所以我在 90 年代后期换了
当我离开中央情报局并非常专注于帮助组织真正了解如何构建创造性解决方案来保护他们的组织时。我也是一名企业家。我喜欢建立和销售公司。所以当我离开该机构时,我和几位同事创办了一家政府承包公司。我非常专注于构建创造性解决方案的研发。
然后我们被洛克希德马丁公司收购。而当时洛克希德·马丁公司的首席执行官兼总裁鲍勃·史蒂文斯(Bob Stevens)让我继续担任他专注于网络安全的首席科学家。因此,每当出现任何重大违规、任何问题、任何网络安全问题时,我都会在凌晨 2 点接到电话,跳上飞机,前往问题所在的任何地方。所以从我的进攻心态,我转向防御,然后我把重点放在事件发生后的事件响应上,问题发生后,我们如何响应和修复它?
但后来我在思考洛克希德的那些年,我们为什么要等待事件发生?为什么我们要等待妥协发生,然后在 6、9、12 个月后做出反应,因为损失很大?如果我们开始做更主动的解决方案怎么办?因此,当我开始为像 McAfee 这样的公司工作时,我帮助改造了他们的整个技术线,然后我们卖给了英特尔。在那之后,我创办了自己的公司 Secure Anchor,我们现在真正专注于帮助组织了解网络安全,以便他们能够构建主动解决方案以最大限度地减少损害。
因为让我们面对现实吧,你在新闻中听到的平均违规行为是这样的,公司已经被入侵了两年半,他们已经丢失了 300-4 亿条记录,他们正在被罚款,这会让他们付出代价15-20百万。你必须坐在那里说,等一下,一个拥有所有这些技术和所有这些从事网络安全工作的人的大型组织如何在两年半、三年内错过一次攻击并发生如此大的数据泄露?问题很简单。组织不了解网络安全,他们专注于错误的领域。所以我的使命就是让网络空间成为一个安全的生活、工作和养家糊口的地方。
Erik:正常的安全也有点像这样。如果你想闯入建筑物,你可以闯入建筑物。但成本效益确实不存在。而网络安全,是什么导致了最近攻击的急剧增加,是数据的价值在增加,所以有更大的激励,因为这都是关于激励的?或者,如果你闯入一栋建筑物,很难抓到人,而且很有可能你最终会被戴上手铐?如果没有网络安全,也许在该领域真正逮捕某人特别具有挑战性,因此风险较低?是什么围绕这个领域创造了我们在许多其他与安全相关的生活领域中没有的动态,即使在国家安全层面,国防,在许多领域都胜过进攻?网络安全方面的独特之处是什么,创造了这种在某种程度上进攻胜过防守的动态?
Eric:所以从最后一个开始,进攻胜过防守的原因很简单。如果有人要闯入组织,如果他们要闯入银行,如果他们要窃取您的个人信息或窃取公司数据,他们只需要找到一个漏洞,他们只需要找到一种可能的方法。如果你想要防御,为了修复和保护组织,你必须进入并找到所有的漏洞。现在问题来了。
如果您拥有 100% 的安全性,那么实现这一目标的唯一方法是,如果您的价值为零或使您的组织受益,则您的功能为零。一旦添加了功能,就会降低安全性。因此,无论何时您允许使用电子邮件,您都在设置 Web 服务器,设置新系统,将设备、PLC 连接到网络,这就是添加功能。每次这样做都会降低安全性,增加风险,这意味着任何拥有具有功能的计算机和技术的组织都将面临安全风险,它们将存在漏洞,这是不可能的绕过它。这就像万有引力定律:当你做一个时,另一个增加;当您增加功能时,您会降低安全性,它总是会发生。
因此,很多组织都忽略了这一大招,预防是理想的,但检测是必须的。大多数公司仍然天真地认为他们可以阻止所有攻击。所以他们把所有的精力都放在了预防上,当预防措施失败时,他们没有发现;他们没有受到攻击。我描述网络安全的方式是及时遏制和控制损害。当我们为客户实施安全措施时,我告诉他们,听着,你会被攻破,这会发生。我们的目标是在数小时内而不是数年内捕获它。我们的目标是在您有 10 条记录而不是 1000 万条记录时捕获它。
但公司必须认识到违规将要发生的现实并接受它,而不是与之抗争,并将更多的精力集中在检测方面。然后这些攻击增加的原因是因为组织已经如此积极地移动,过去没有连接的系统。我记得五六年前,七八年前,当我们使用很多控制系统,核电站,石油和天然气,甚至洛克希德马丁的制造设施时,它们从未连接到公共网络,他们总是被气隙隔离和隔离。
因此,除非您有内部人员在物理上突破了组织的边界,否则您将无法访问该数据。但多年来,许多组织所做的是,他们现在开始说,哦,如果我们的核反应堆可以访问我们的生产网络,那就容易多了,哦,如果PLC 已连接。因此,他们开始将许多从未设计或构建安全的系统互连起来,它们本来是要隔离的,所以会造成大量的暴露。
然后第二部分是网络犯罪支付。正如你所逃避的那样,我们知道是谁犯下了这些罪行。我可以告诉你他们的姓名、地址和所在地。问题是他们所在的国家在国外进行黑客攻击并不违法,而且我们与这些国家没有引渡条约。所以我们知道他们是谁,他们在做什么,但从执法的角度来看,我们对此无能为力,这意味着是的,在 10 年或 12 年后,我相信联合国或其他一些组织将有一个国际网络犯罪执法机构,所以所有国家都将共同努力解决这个问题。但我们谈论的是至少 10 年或 12 年,这意味着组织必须认识到攻击将继续,它们会增加,那些忽视它的人会付出代价,那些接受它并开始实施适当检测的人是将成为那些开始获胜的人。
Erik:我想,也许从我的角度来看,我们有不同类型的演员。你有那种孤独的黑客,他可能只是想证明他可以做某事,他可能想赚一点钱。可能有很多这样的,但复杂程度很低,然后是犯罪集团,它们更复杂,有民族国家,在某些情况下,还可能有公司,互相攻击。您是否正在围绕谁负责监控演变,因为我认为这将在一定程度上决定您将谁确定为目标,他们可能对哪种类型的数据感兴趣?攻击者的身份是否存在波动或趋势?或者随着时间的推移,这些不同部分之间的比例在某种程度上是恒定的?
12:52
埃里克:所以我们看到的大趋势,我会警告说这是有偏见的数据,我会在一分钟内解释我的意思。但我们真正看到的是你提到的底层,那些孤独的演员和那些有组织的犯罪,那些是真正增加攻击的人。原因是这样的。你会看到很多报告说攻击变得更加复杂,它们变得更加先进,这就是你看到增加的原因。我完全不同意这一点。
因为如果你回到 10 年前,大多数攻击实际上是非常高级的定制攻击,因为组织正在修补、锁定和保护他们的系统。所以我们在 2010 年 -2011 年看到了我们所说的零日或 O-day 攻击,这意味着这些是供应商不知道的全新攻击,没有修复方法。它们非常先进,非常复杂,而且很难防御。
但是,在过去的两三年中,如果您查看所有重大违规行为,它们都归结为这一点。从互联网上可以看到该公司不知道的服务器,它缺少补丁,这意味着它有已知的漏洞,并且包含没有得到适当保护的关键数据。我们公司处理的每一个重大漏洞,我们在过去三年中处理了 70 多个,通常是在那个桶下。
所以今天的问题是组织变得草率。他们没有进行适当的资产清点并保护他们的系统,因此我们让攻击者非常非常容易闯入并赚钱。当然,我们在有组织犯罪和独狼演员中看到的最大的是任何受金钱驱动的东西,所以勒索软件是他们的最爱之一。因为如果您的数据被勒索赎金,您将无法开展业务。而大多数企业,你支付的赎金,是200万;如果你不支付赎金来恢复数据,是800万。因此,不幸的是,组织支付赎金实际上更具成本效益,因此我们看到赎金大幅增加。
现在,我说我们看到向量在增加,而不是真正先进的民族国家威胁行为者那么多,我说,有一个警告。需要注意的是。大多数组织没有先进的检测能力。大多数民族国家的攻击都非常先进,问题不在于它没有发生,而是我们没有看到它,因为它们在我们的雷达之下并处于隐身模式。
所以我在三个月前读了一份报告说,在过去的 12 个月里,民族国家的攻击次数减少了 30%。过去 12 个月的民族国家攻击次数尚未被发现。因此,公司并没有像过去那样检测到 30% 的攻击。不是它没有发生,而是我们没有抓住。这可能是我在网络安全中看到的最大的谬误之一,我会与高管交谈,他们会说,埃里克,我们很好。我们不需要你的帮助。在过去的 18 个月中,我们没有发生任何违规行为。我们做得很好。
我想,好吧,让我直截了当。地球上的所有其他公司都受到攻击和损害,而你出于某种原因告诉我你没有,这意味着两件事之一。要么你拥有其他人没有的特殊的、神奇的独角兽级安全性,并且你正在神奇地保护,要么不是你没有破坏,而是你没有捕捉或检测它。我几乎可以保证它是第二名。
因此,我会敦促听众,如果您所在的组织没有看到任何攻击,并且您在 12 或 18 个月内没有被入侵,那么您需要更加努力。这并不是说它没有发生。就是它正在发生,而你没有看对地方,也没有抓住它。
埃里克:那么,一方面,民族国家,也许还有国家支持的公司,在掩盖他们的努力和安全地隐藏在系统中,实际上随着时间的推移而变得越来越复杂。这对于采用物联网系统以及在过去十年左右真正没有 DNA、没有强大 IT DNA 的公司采用复杂的 IT 系统也是有道理的,现在有很多简单的目标是有道理的,新资产类,正在打开的新数据库。不幸的是,医院可能是勒索软件的主要目标之一。
听起来这些将是要解决的不同问题。一方面,您对目标的复杂性相对较低,而这些目标根本不是。我与许多物联网设备制造商以及针对物联网设备的安全解决方案进行了交谈,我们可能正在开始转机。但是在很多这些类别中,我们将建立安全性,一旦我们证明产品确实适合市场,我们就会开始扩大规模。所以你有很多资产类别没有内置安全性。你是否将这些视为两个根本不同的挑战,大众市场与雷达攻击下的直接驱动复杂?在如何保护这两者的目标方面会有什么不同?
Eric:物联网提出了一个全新的挑战,因为物联网的整个前提是你拥有更小的计算设备,可以执行非常专注的工作。因此,它们中的大多数都没有强大的操作系统,并且在构建时也没有考虑到安全性。所以对我来说,当你谈论传统的 Windows 服务器、Unix、Linux 服务器、大型机或大规模云计算时,大部分安全性是基于操作系统的,修补系统,卸载你不使用的应用程序不需要,锁定系统,拥有真正强大的健壮密码。如果你做了很多这样的事情,就很难闯入这些系统和设备。
物联网的问题在于它们并不是真正为这些强大的操作系统而构建的。许多物联网设备非常简单、成本低,它们没有内置安全性。如果你开始构建安全性,它要么会增加计算量、耗尽电池或电源,要么会对网络产生负面影响系统。所以,对我来说,物联网的一大诀窍是你从核心操作系统安全到现在基于网络的安全,你现在必须设计一个网络,你将物联网设备放置在一个安全的网络中,这样他们就可以做他们的事情,但是您正在限制和控制输入的信息以及输出的信息,以便能够最大限度地减少或减少这些设备受到损害的影响。
所以现在对于许多安全专业人员来说,这是一种不同的心态,修补、加固、删除软件和访问控制真的不是发挥作用的事情。因此,更多的是关于我们如何设计和建立一个气隙或部分气隙的网络,以最大限度地减少或减少对该信息的访问。
我们去年的收尾工作做得很好。因此,当我们在 1999 年结束并进入 2020 年 1 月时,我想说与我们合作的很多客户开始得到它。我们正在建立适当的安全边界和区域。我们使用 VLAN 和过滤机制对他们的网络进行切片,这些机制在通过适当的网络配置保护设备方面确实做得很好。然后在 3 月或 4 月,这件事发生了,你可能听说过称为 COVID-19,这改变了一切,因为现在突然在医院里,你有更多的医生在远程工作,你有更多的人没有不进来。即使在发电厂,公用事业公司和制造业,突然之间,传统上必须进入办公室工作的人,现在因为流行病,组织就像,好吧,这太多了存在风险,我们需要允许远程访问。
几乎在公司“COVID-tizing”他们的组织的四到六周内,我们在过去 12 个月中为保护和保护所做的大部分工作,很多这些物联网系统都消失了,因为现在他们允许来自互联网的直接访问或间接访问现在创建了一组全新的曝光。这就是为什么当报告出来时,你会看到 2020 年第三季度和第四季度是针对物联网的大规模攻击,因为人们必须进行所有更改以使支持成为远程工作人员。
Erik:组织需要采取哪些步骤?我认为很多企业在 IT 需求方面变得更加灵活,这仅仅是因为工厂正在向云开放,因此可能被困在国外的管理人员无法访问能够访问数据等等。而且我相信在很多情况下不会出现这种情况,我们会退缩,因为这种能力有足够的好处,无论你是工厂还是医院,能够远程操作都会有一些粘性即使 COVID 消失,也能适应这种情况。对于最近将其 IT 系统开放给控制网络之外的设备的这些组织之一,您将采取什么途径?
Eric:你这样做的方式就是我所说的混合云解决方案,是你的数据和信息。随着流行病的流行,我认为我们在未来两三年内不会回到任何类似于正常的状态。我仍然认为,根据我与企业主、高管和我们的许多客户的谈话,我们可能至少在另外 12 到 18 个月内将主要拥有远程劳动力。然后可能在 2022-23 年,我们将有 20% 或 30% 的人在办公室工作。但这将是新的解决方案。
因此,您需要做的是拥有所有关键数据和信息,无论是医院、控制系统还是公用事业公司,都在私有云中,因此它位于后端,无法直接在 Internet 上访问。然后,您需要有一个身份验证区域。而且我一开始就知道,这种变化会带来一些不便,但是您必须让用户必须根据他们的位置进行身份验证。因此,如果您要从家里出发,您必须首先注册这现在是您的远程办公室,以便他们知道这些 IP 地址是有效的。然后,您可能必须使用证书或其他形式进行双重身份验证,因此设置它会产生一些开销。这是解决方案的一部分。
我们需要更好地验证、验证和验证这一概念,即在 2020 年,我们仍然允许人们基于密码访问关键信息是疯狂的。密码,它们是在 1990 年的技术中遇到的,而不是今天。我们需要获得两个因素,我们需要获得证书,我们需要获得更好的等级认证,并摆脱旧密码。所以这是选项一。
第二个是我们的终点,我们的暴露点。如果你让人们使用个人电脑,甚至是在家工作的电脑,或者我现在所说的家庭办公室,这些系统通常每三到四年构建一次。因此,如果他们受到威胁,如果用户单击链接,打开附件,它就会被感染,该系统会被感染两到三年。即使您正确地进行身份验证以访问关键数据,攻击者也已经控制了端点。因此,如果他们控制端点,则身份验证无关紧要。
因此,我们推出的另一个选项,我们的许多客户在两三个月前开始这样做,当时我们意识到 COVID 是新的现实,您需要为在家中远程工作的用户提供瘦客户端。他们没有操作系统。他们没有硬盘。现在,每次启动计算机时,您都会访问受信任的服务器,在内存中下载一个 OSU 按钮,然后当您在一天结束时关闭计算机时,所有这些都会消失。
现在,即使你被感染了,你也会被感染两三个小时,因为每天你都会得到一个新的干净构建。因此,攻击者无法长期访问,也没有他们可以在该系统上破坏的数据。因此,现在通过使用具有混合云模型的强大身份验证的瘦客户端到端点,现在突然之间,您可以让人们以一种智能、功能丰富但安全的方式能够像以前一样访问信息在办公室,但可以远程进行。
Erik:那么在我的团队顶部部署虚拟系统是否使用他们自己的个人计算机?然后公司会在更难的基础上部署一个虚拟系统,还是他们实际上会运送不允许某人在他们设置的参数之外操作的硬件?
Eric:理想情况下,您实际上会将它们全部发送到瘦客户端。您可以将它们运送到 800 美元或 900 美元的设备,这些设备具有大量内存,没有硬盘空间。让用户拥有自己的显示器和键盘,但您只需将基本计算机发送给他们。那将是理想的情况,因为现在您正在控制所有向量。如果那是不可能的,如果那不是你能做的事情,那么第二个选项,虽然不理想,但总比没有好,你可以进去让他们使用他们的家用电脑,安装一个 VM 产品,然后你就可以给他们一个虚拟机,让他们每天加载以在他们的系统上运行。如果配置正确,您至少可以对端点和硬盘进行一些隔离。
Erik:但如果你能分享一些关于你在这些公司交谈的人的类型,因为这个安全问题有点像系安全带。在你发生事故之前,你不一定会认真对待它。一旦发生事故,你的余生都要系好安全带。许多公司处于尚未被烧毁的位置。也许他们见过其他公司,但没有发生在他们身上,所以很难分配预算和时间来妥善保障。在组织或中型到大型组织中,您会就这些主题与谁交谈?然后也许你可以分享一些关于争论的事情?您如何让尚未被烧伤的人将其作为预防措施认真对待?
Eric:当然,对于客户,如果他们有 IT 主管或 CISO,我们会参与其中并与之合作。但有趣的是,我们接触到的大多数客户我称之为中型企业,我们的最佳客户是 1-40 亿美元的公司,这就是我们帮助他们的地方。我们 80% 的客户都在那个领域,那里工作过度,而且他们没有真正的 CISO。
因此,我们正在与我们交谈的大多数人。第一是首席法律顾问,是首席律师,因为他们看到违规行为,他们正在查看勒索软件,他们正在查看记录,他们开始担心了。因为网络安全,我们是否意识到这主要是一个法律问题。然后让我们参与进来的第二个是审计员。因为大多数客户都在与公用事业公司打交道时,在与拥有大量物联网设备的制造业组织打交道时,审核员是那些当他们开始审核时,他们会走,等一下,你做了什么?你将什么网络连接到什么网络?所以审计师是第二个带我们进来的群体。
第三组是公司顾问或董事的成员。他们正在查看公司正在做的所有事情,他们正在获取所有更新和简报,然后他们走了,我坐在六个不同的董事会上,而我与之合作的其他两家公司也有违规行为。因此,您需要进入并开始考虑网络安全。因此,实际上是让我们参与进来的高管开始提出问题,以了解他们是否制定了适当的网络安全策略。
当你说没有人认为这会发生在他们身上时,你就对了。当我与网络安全的任何人打交道时,最大的两个挑战是首先,他们不认为自己是目标,其次,他们认为网络安全不是他们的责任。他们认为应该由其他人的问题 IT 或安全性来处理。
有趣的是,我将与您分享一些真实数据,在 COVID 之前,我们所做的大约 70% 的业务是主动安全评估。 30% 是我们所谓的事件响应或专家证人,其中公司有违规行为或因违规而被起诉并将我们带入。
上个季度,我只看了我们的数据,20% 是安全评估。我们对此受到了一点打击,因为在 COVID 以及在收入和其他方面苦苦挣扎的公司以及很多像 Eric 这样的公司的情况下,我们可以负担得起安全评估。我们将需要推迟它,我们不能这样做。所以我们看到这些数字下降了。公司可能会从网络安全中休息一下,但网络犯罪分子不会,他们仍在闯入并说您已为此做好准备。
1 月份,我们的业务是 70% 的评估是主动的,30% 的事件响应是被动的。过去四个月,20% 的安全评估是主动的,80% 的事件响应是被动的。因此,基本上,COVID 发生的事情持续了四五个月,公司忽略了安全性。他们把它放在次要位置,因为他们认为这是一项开销功能。现在他们看到他们的事件成倍增加,因为他们忽略了这个问题。而且我们甚至还没有掀起冰山,当我们今年结束并移至 2021 年第一季度时,我认为您将看到大量的妥协、事件和违规行为被公诸于众,因为公司一直忽视安全性因为疫情。
Erik:甚至可能网络犯罪是反周期性的。很多人被解雇了,所以即使是相当高技能的开发人员也被解雇或者只是在家工作并且有很多时间在手上。所以现在你有一个人才基础,有时间需要钱,当然你有机会。显然,由于数据的敏感性,医疗保健让我觉得现在会出现很多攻击的领域之一。在过去一年左右的时间里,您是否看到有哪些特定行业首当其冲受到这些攻击?
埃里克:这很有趣,因为我们必须将其分解为新冠病毒之前和新冠病毒之后。我想说,在 COVID 之前,在 COVID 来袭之前,有很多医疗保健、制造和公用事业公司。现在,在 COVID 之后,我们看到的第一大因素是金融组织。原因是这样的。现在很多人手头拮据,失去了收入,失去了福利。这意味着无论何时发生这种情况,他们都会对基于网络钓鱼的攻击更加情绪化。因此,我们已经看到,自 COVID 以来,攻击人们的 401k、针对银行、针对抵押贷款、针对任何财务驱动的攻击的数量肯定增加了约 20%。我们也看到医疗保健受到了正确的打击。
但我们看到的另一件事是制药行业的大量攻击。我们开始意识到,今天最大的货币成分不是股票,实际上是疫苗。所以我们看到不同的国家,就像你在朝鲜、中国看到的很多,实际上试图在德国获得和攻入不同的疫苗,你的很多制药公司实际上都在做类似的事情.
因此,一场针对 COVID 的处方药、针对 COVID 的疫苗以及针对 COVID 的任何治疗的巨大战争正在进行。谁可以拥有或主导该市场,这将是一个十亿美元的市场。因此,我们看到针对所有不同研究公司和制药公司的大量攻击正在遭受巨大打击。当然,随着我们进入假日季节,与世界上大多数国家一样,我们也看到很少有人去实体店,而更多的人在网上购物。我的预测是,本月,我们将看到大量在线零售组织受到网络攻击,这仅仅是因为流经它们的收入增加。
Erik:我想制药案有点独特,非常有情境。这有点不幸,也许数十亿美元处于危险之中。但现在,数万亿美元在更大的经济中处于危险之中。因此,如果这些组织能够找到一种方法来提取资源并咬紧牙关,为更大的利益分配资金,那就太好了。但是如果我们把它们放在一边,因为这是一个独特的情况,我们看看电子商务或金融,这里通常被盗的是什么?是被盗和出售的个人身份信息吗?是直接获取资金的攻击吗?我的意思是,您之前提到了勒索软件,攻击的大部分结构或他们窃取的资产在哪里?
Eric:在过去的两三年里,我们看到的几乎所有攻击都在很大程度上基于金钱收益。因此,任何对对手具有货币价值或利益的东西都是他们的目标。所以我们谈到了勒索软件,这是同步的,因为我加密了你所有的数据,你付钱给我,或者你没有取回你的数据。但是很多人没有意识到互联网的地下有一个完整的地下网络,称为暗网。我认识很多人,当他们听到它时,他们认为它是科幻小说或虚构的,但它确实存在。它是犯罪分子居住的互联网的一部分,他们买卖银行账户、社会安全号码、身份证明、健康记录,以及任何可以通过窃取或破坏数据而获得金钱收益的东西。
因此,在这种背景下,您会看到美国境内的医疗保健信息、社会安全号码、其他国家/地区的身份信息、护照信息、银行账户,以及任何可以直接或间接为网络犯罪分子赚钱的东西,这差不多他们今天的目标和目标。
Erik:也许这更像是 FBI 类型的工作。但是在防止销售方面是否取得了重大进展,因为我想这在很大程度上是一种供需关系?因此,如果您还能够通过使被盗资产(无论是加密货币还是更多个人数据)货币化变得更加困难来减少需求方,那可能会降低激励。您是否看到那里取得了进展,还是我们正朝着相反的方向前进?
埃里克:肯定有进步。问题是,如果你绘制出进度,它有点像一条小曲线。如果你绘制出网络犯罪的增长曲线,曲线就会大得多。因此,虽然取得了进展,但并没有跟上正在发生的步伐。还有两个基本问题,我提到的一个是很多这样的问题正在国际上完成。
对于传统犯罪,如果你要抢劫一家传统银行,如果你要抢劫一家在美国的传统医院,你必须来美国。我不能从另一个国家持枪抢劫银行。所以传统的犯罪,因为他们必须来到我们的国家,我们非常擅长抓住他们并找到他们。网络犯罪现在的问题是你可以从世界任何地方去,闯入银行,闯入医院,并且永远不会离开那个国家。
正如我所提到的,因为很多这些国家没有将其定为非法的法律,而且我们也没有引渡条约,所以我们无能为力,因为没有合作。所以这是问题一。
问题二,很多这些地下站点实际上像帮派一样运作,这使得执法部门很难介入。例如,对于高端帮派,要加入帮派,你必须做的一件事就是你必须杀死某人。他们之所以有这个标准,是因为卧底警察,即使他们是卧底,也不允许他们冷血地杀人,即使是为了更大的利益。因此,犯罪分子已经想出办法清除并让执法部门难以介入。
对于暗网和地下站点,情况是一样的。为了让你进入其中一些非常非常糟糕的地方,你必须进入并闯入银行,你必须进入并窃取 50,000 个银行账户。再一次,卧底警察不能这样做,因为这违反了法律,他们不允许这样做。因此,网络犯罪分子已经想出办法让执法部门非常难以渗透这些组织。而且它们也以这样的方式细分,即使执法部门可以,它也是一个非常小的群体,而且新群体的数量呈指数增长,网络犯罪无法跟上。
我向所有执法部门致敬。他们正在做一项了不起的工作。所以我只想说清楚,这些都不是负面的。他们是很棒的人,他们正在做着很棒的工作。这只是我们生活的不幸现实。因此,组织必须认识到,至少在不久的将来,网络安全是他们的责任。他们会受到攻击,我们无法阻止它。他们确实需要将大量精力和精力集中在检测上。
Erik:我认为我们已经触及了很多不同的方面。但也许我们现在可以选择一个例子,一个你最近处理过的一个中型公司的案例,告诉我们你采取了哪些步骤,因为我认为我们的很多听众都会处于类似的位置,他们'一方面在财务资源和内部领域知识方面都受到资源限制,但有合理的担忧,无论是围绕确保推出市场的产品还是确保其内部运营。所以我认为有一个逐步评估的过程非常有用,你今天在哪里,然后你做什么,我想有两件事,一是保护你的环境,二是评估你是否已经已经被妥协了,然后再处理那种情况?
Eric:它有两个方面,所以我会做一个技术层面的,然后是一个执行层面的。所以从技术上讲,我们被带入了一个受到相当严重损害的组织,他们受到了大量网络犯罪的打击。所以归根结底是黑客攻击并不难。
因此,如果我们只想将黑客攻击分解为其基本组成部分,那么您基本上需要三件事。你需要一个目标,你需要一个访问权限,你需要一个漏洞。因此,我们看到的大多数大型攻击都集中在面向互联网的服务器上。这些攻击的运作方式是你找到一个可以从互联网访问的可见服务器,它缺少补丁,这意味着它有已知的漏洞,并且它包含没有适当保护或加密的关键数据。所以我知道这听起来有点反气候。
但是,如果您想保护您的组织,无论您是 1000 万、1 亿、10 亿、10 美元、20 美元还是 300 亿美元的组织,这真的很简单。您需要进入并具有可见性。您需要了解从 Internet 可见的 IP 地址是什么。
您需要知道哪些端口是开放的,以及哪些补丁应用于这些系统。
现在,许多组织这样做的方式是,他们实际上是采用自下而上的方法。所以他们要进去,第一个问题是他们没有能见度。他们不知道他们所有的服务器。在过去几年我们在新闻中看到的每一个重大漏洞中,每一个,被攻破的服务器,没有人知道在网络上。没有人知道它在那里。
因为让我们面对现实吧,如果您有一个组织,他们的服务器缺少补丁,其中包含没有得到适当保护的关键数据,并且有人公开知道这一点并说,是的,让我们这样做,这是个好主意,这太疯狂了。我的意思是,这是疏忽。这不是正在发生的事情。正在发生的事情是他们没有意识到他们的服务器是什么。所以你需要有一张网络可见性地图,上面写着,这里是来自互联网的可见 IP,这里是开放端口,这里是正在运行的服务。
现在,正如我所说,即使这样,公司也会弄错,他们会自下而上。所以大多数公司所做的就是喜欢,好吧,我们有一个补丁,补丁,补丁,我们有一个锁定,我们有一个更难的配置。作为案例研究,我建议您采用自上而下的方法。因此,如果您想象这张网络可见性地图,其中您有一个分配给您公司的 IP 地址范围,那么您将拥有 30 台可见的服务器,然后您拥有端口和服务。
我希望你做的是减少攻击面。我希望你从头开始说这些服务器中的每一个都需要在互联网上可见吗?不,让我们删除它们。因为让我们面对现实吧,如果您有 10 台不需要从 Internet 上看到的服务器,那么删除它们不是比修补它们更好吗?如果不需要它们,为什么还要让它们可见?所以现在我们正在做的是减少攻击面,然后我们使用开放的端口,然后我们说,好吧,这七个端口是否都需要在系统上开放?不,让我们减少攻击面。
所以我们现在通过自上而下做的事情,我们正在减少整体攻击面,最大限度地减少暴露,现在我们只修补剩下的东西。现在打补丁变得容易多了,因为我们对我们的环境拥有完全的可见性和控制权。所以这将是我绝对推荐的第一个案例研究,你必须有可见性,你必须建立网络可见性地图,但你必须减少攻击面。
第二个是我们正在提高执行意识,因为让我们面对现实吧。如果您的组织中有副总裁、董事、经理,他们不了解安全性,或者他们不考虑安全性,那么您就不会安全。他们必须认识到他们是目标,网络安全是他们的责任。这个案例研究是你只需要训练你所有的副总裁和经理问两个问题。
现在的问题是,当他们做出决定时,他们只会问一个问题。这个问题是,价值或好处是什么?因此,让我们使用客户数据设置一个新服务器。有什么价值或好处?它可以使我们的收入增加 10%,让我们去做吧。所以他们只问一个问题,这是非常非常危险的。你想要做的是训练你组织中的每个人总是问两个问题。有什么价值和好处?然后是第二个问题,这样做的风险和风险是什么?然后你要决定价值是否值得暴露的风险?现在值那个值吗?如果你说是,那就太好了,去做吧。
就像人们总是问我一样,埃里克,这安全吗?或者我和你打赌,如果我问你我是否可以这样做,你会告诉我这不安全,我拒绝。安全从来都不是二元的。从来都不是是或不是。您的风险状况与价值或收益之间的关系始终是什么?您可能处于风险相当高的情况,但价值和收益如此之大,以至于您可能愿意这样做。在其他组织中,您可能不会。因此,整个想法是,您需要培训管理人员根据所有信息做出全面决策,收益的价值是什么,风险和风险是什么,然后您能否承受这些风险和风险?
如果你不能降低风险或不这样做,如果可以,那就做出决定。但是,现在只需添加第二个简单问题,这些高管就可以在了解价值、了解风险并适当平衡等式两边的情况下做出有安全意识的决策。
Erik:评估收益是他们的核心工作。评估风险超出了他们的专业领域。又一次,回到这个车祸的比喻。在它发生之前并不一定是显而易见的。您希望这些主管阅读何种程度的熟练程度,以便他们能够做出明智的决策和风险收益决策?他们需要培养高水平的熟练程度吗?还是更了解这个问题,然后知道他们可以与组织中的谁合作来填补信息空白?因为我可以想象,让高级管理人员花时间开发一个新的专业领域总是很有挑战性的?
Eric:这绝对是意识。我不希望您的产品和开发副总裁或营销副总裁参加六个月的网络安全课程并理解这一点,这只是提出问题的意识。因为这就是今天的问题。在大多数组织中,副总裁、经理和高管拥有所有权力,但在网络安全方面他们没有任何责任。
所以我们经常看到这种情况发生,首席信息安全官会去找副总裁说,你不能这样做;这是一个巨大的安全风险,你不应该这样做。他们基本上说,走开,我在赚钱。只要我能赚钱,我就可以为所欲为。你无法控制我。你处理我忽略的安全问题。
尽管 CISO 对每个人说这很糟糕,这很糟糕,这很糟糕,但没有人听他们的。然后会发生什么?发生违规行为。该组织是做什么的?启动系统。因此,既然副总裁对网络安全的责任为零,他们将继续做出错误的决定,因为他们没有责任,他们有权力,而你将继续让 CISO 加入并让他们被解雇。这就是问题持续存在的原因。
我们在组织中需要做的是将责任转移给副总裁。因此,现在当副总统做出决定时,安全部门会介入并转移其余部分。我们现在进去说,好的,副总统先生或夫人,我们会让你意识到风险。如果你决定接受这个风险,我们会告诉高管你已经接受了这个风险。
现在,如果发生违规行为,不仅副总统要负责。但现在因为他们有这个责任,他们会遇到麻烦,他们将停止忽视安全并停止做出错误的决定。因此,提出两个问题的整个概念确实打破了根本问题,即副总统拥有所有权力而不承担任何责任。因为直到我们用安全的权威推动责任并提高意识,这些问题不会很快得到解决。
Erik:也许这实际上是我们结束的好地方。我记得介绍我们的 Hannah Broadwell 提到您还在开设虚拟首席信息安全官课程。所以我想这至少是非 IT 的一种途径。这是一门专为已经拥有特定领域专业知识的 CISO 开设的课程,而您正在加强这一课程?或者是否会为非 IT 管理人员开设一门单独的课程来获得这些知识基础?
Eric:所以我称它为 CISO 课程、首席信息安全官课程。因为我在组织中看到的问题是没有网络安全策略。我知道有些技术人员生我的气。但多年来我们遇到的问题是,人们总是将 CISO 视为对真正聪明的工程师的提升。因此,CISO 是组织中的技术进步,这就是它不起作用的原因。
所以这门课程真的是你如何从战略上思考网络安全,虽然它是为那些想要立于不败之地的人设计的,它也非常适用于想要从战略上思考安全的非技术高管。他们想了解,好吧,在非技术层面,我不想获得这方面的硕士学位,而只是 6、7、8 小时的材料,我可以在我的车上听或在健身房从战略上考虑安全性,这就是该课程的真正目的。
因此,任何想要了解安全策略的人,无论是对于 CISO 还是作为更有效的执行官,这门课程都会非常非常有效。如果您访问secure-anchor.com,您肯定可以找到更多相关信息。
Erik:Eric,我认为这已经是一个非常有用的播客了。有没有我们应该弥补的遗漏?
Eric:我认为我们涵盖了关键点。我只是想强调一点,无论你是谁,无论你的组织规模如何,无论你的年收入是 100,000 美元还是 100 亿美元,你都将成为目标,你将受到损害,网络安全是您的责任。如果您在超过 12 个月内没有违规,这并不是因为它没有发生。那是因为你没有挡道。
Erik:我在这里做的一件事是我是 Startup Grind 的董事之一,这是一个面向企业家的非营利组织。就在两天前,有人尝试对我进行网络钓鱼攻击。我在想你到底想在这里偷什么?你知道,我不确定这里有什么有趣的资源。但即使是企业家的一个小非政府组织也是这里的攻击目标。埃里克,所以你在做非常重要的工作。感谢您抽出时间与我们分享您的专业知识。人们与您联系的最佳方式是什么?是通过网站吗?或者你更喜欢什么?
Eric:我在互联网上非常活跃,因为我的使命是让网络空间成为一个安全的生活、工作和养家糊口的地方。因此,如果您只想在任何社交媒体平台上获取信息,Eric Cole 博士。我有一个 CISO 节目的生活,我每天都会发布很多内容。如果您从商业角度感兴趣,请访问 www.secure-anchor.com 如果我能以任何方式为您提供帮助,请发送电子邮件至 ecole@secure-anchor.com 我很乐意听取您的意见,看看我们如何能帮你。
埃里克:太好了。谢谢你,埃里克。
埃里克:我的荣幸。谢谢你,埃里克。
Erik:感谢您收看另一个版本的工业物联网聚光灯。不要忘记在 IotoneHQ 的 Twitter 上关注我们,并查看我们在 IoTONE.com 上的案例研究数据库。如果您有独特的见解或项目部署故事要分享,我们很乐意在未来的版本中介绍您。写信给我们 erik.walenza@IoTone.com。